PERENCANAAN
PENUGASAN AUDIT
2011
PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN
BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
Perencanaan Penugasan Audit
PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN
BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
Edisi Pertama : Tahun 1999 Edisi Kedua (Revisi Pertama) : Tahun 2000 Edisi Ketiga (Revisi Kedua) : Tahun 2003 Edisi Keempat (Revisi Ketiga) : Tahun 2008 Edisi Kelima (Revisi Keempat) : Tahun 2010 Edisi Keenam (Revisi Kelima) : Tahun 2011
Perevisi : Wakhyudi, Ak., M.Comm. Pereviu : Meidyah Indreswari, S.E., Ak., M.Sc., Ph.D., CKM Editor : Yeni, S.E., Ak., M.M.
ISBN 979-3873-00-0
Pusdiklatwas BPKP
Jl. Beringin II, Pandansari, Ciawi, Bogor 16720 Telp. (0251) 8249001 ‐ 8249003 Fax. (0251) 8248986 ‐ 8248987 Email : pusdiklat@bpkp.go.id Website : http://pusdiklatwas.bpkp.go.id e‐Learning : http://lms.bpkp.go.idDilarang keras mengutip, menjiplak, atau menggandakan sebagian atau
seluruh isi modul ini, serta memperjualbelikan tanpa izin tertulis dari
Pusat Pendidikan dan Pelatihan Pengawasan BPKP.
KATA PENGANTAR
Komitmen pemerintah untuk mewujudkan pemerintah yang transparan dan akuntabel serta bebas Korupsi, Kolusi, dan Nepotisme pada berbagai aspek pelaksanaan tugas umum pemerintahan dan pembangunan dituangkan dalam Undang‐Undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara yang Bersih dan Bebas dari KKN. Komitmen ini sudah menjadi agenda yang harus dilaksanakan guna tercapainya transparansi dan akuntabilitas publik, tidak terkecuali komitmen APIP untuk selalu meningkatkan peran sertanya dalam mewujudkan pemerintahan yang baik.
Untuk menjaga tingkat profesionalisme aparat pengawasan, salah satu medianya adalah pendidikan dan pelatihan (diklat) Sertifikasi Jabatan Fungsional Auditor (JFA) yang bertujuan untuk meningkatkan pengetahuan, keterampilan, dan perubahan sikap/perilaku auditor pada tingkat kompetensi tertentu sesuai dengan perannya.
Guna mencapai tujuan di atas, sarana diklat berupa modul dan bahan ajar disajikan dengan sebaik mungkin. Evaluasi terhadap modul dilakukan secara terus menerus untuk menilai relevansi substansi modul terhadap perubahan lingkungan yang terjadi, oleh karena itu modul ini ditujukan untuk memutakhirkan substansi modul agar sesuai dengan perkembangan profesi auditor, dan dapat menjadi referensi yang lebih berguna bagi para peserta diklat sertifikasi JFA.
Akhirnya kami mengucapkan terima kasih kepada semua pihak yang telah memberikan kontribusi atas terwujudnya modul ini. Ciawi, Desember 2011 Kepala Pusdiklat Pengawasan BPKP Meidyah Indreswari, S.E., Ak., M.Sc., Ph.D., CKM NIP 19570502 198403 2 001
DAFTAR ISI
KATA PENGANTAR ...
i
DAFTAR ISI ...
iiI
BAB I PENDAHULUAN ...
1
A. Kompetensi Dasar ...
1
B. Indikator Keberhasilan ...
2
C. Deskripsi Singkat Materi Pembelajaran ...
2
D. Metode Pemelajaran ...
3
BAB II PEDOMAN PERENCANAAN PENUGASAN AUDIT ...
4
A. Perencanaan Penugasan Audit ...
4
B. Pengelolaan Risiko Aktivitas Audit Internal ...
7
C. Menghubungkan Rencana Audit dengan Risiko dan Eksposur ...
11
D. Menggunakan Proses Manajemen Risiko dalam Perencanaan Audit Internal . 12
E. Latihan Soal ...
17
BAB III KONSEP DASAR AUDIT INTERNAL BERBASIS RISIKO ...
19
A. Perkembangan Peran Auditor Internal ...
19
B. Pengertian Risiko ...
20
C. Tanggung Jawab Manajemen ...
21
D. Tanggung Jawab Auditor Internal ...
22
E. Audit Internal Berbasis Risiko (AIBR) ...
25
F. Tahapan dalam Audit Internal Berbasis Risiko ...
29
G. Manfaat dan Kelemahan AIBR ...
39
H. Latihan Soal ...
41
BAB IV TAHAPAN DALAM PERENCANAAN PENUGASAN AUDIT BERBASIS RISIKO ...
43
A. Risiko dan Audit Universe ...
43
B. Tahapan dalam Perencanaan Penugasan Audit ...
46
C. Latihan Soal ...
55
D. Diskusi Kasus ...
55
BAB V PENYUSUNAN PERENCANAAN PENUGASAN AUDIT BERBASIS RISIKO BAGI APIP ....
57
A. Standar Pelaksanaan Audit Kinerja yang Berkaitan dengan Perencanaan ...
57
B. Standar Pelaksanaan Audit Investigatif yang Berkaitan dengan Perencanaan
60
C. Pedoman Perencanaan Audit APIP ...
62
D. Perencanaan Sumber Daya ...
83
DAFTAR PUSTAKA ... 105
Bab I
PENDAHULUAN
Standar Audit Aparat Pengawasan Intern Pemerintah (SA APIP) yang diatur dalam Permenpan Nomor 5 Tahun 2008 tentang Standar Audit APIP, menyatakan bahwa APIP harus menyusun rencana pengawasan tahunan dengan prioritas pada kegiatan yang mempunyai risiko terbesar dan selaras dengan tujuan organisasi. APIP diwajibkan menyusun rencana strategis lima tahunan sesuai dengan peraturan perundang‐undangan. Demikan pula, standar internasional bagi pelaksanaan audit intern secara profesional (International Standards for the Professional Practice of Internal Auditing) menyatakan bahwa pimpinan lembaga pengawasan intern harus secara efektif mengelola kegiatan audit intern, untuk meyakini adanya pemberian nilai tambah bagi organisasi. Untuk mencapai tujuan tersebut, maka perencanaan menjadi tahap yang krusial. Itulah sebabnya standar tentang perencanaan menetapkan bahwa pimpinan lembaga pengawasan intern harus menciptakan perencanaan berbasis risiko guna menentukan prioritas kegiatan audit intern yang konsisten dengan tujuan organisasi.A.
KOMPETENSI DASAR
Modul perencanaan penugasan audit diberikan dalam pendidikan dan pelatihan jabatan fungsional auditor penjenjangan auditor pengendali teknis selama 20 jam pelatihan. Kompetensi dasar mata ajar pendidikan dan pelatihan ini adalah peserta diharapkan mampu merencanakan suatu penugasan audit dan mengomunikasikan hasil perencanaannya kepada pihak‐pihak terkait.
B.
INDIKATOR KEBERHASILAN
Indikator keberhasilan modul perencanaan penugasan audit ini adalah setelah para peserta pendidikan dan pelatihan selesai mengikuti diklat ini, peserta diklat diharapkan memiliki kemampuan berikut ini. 1. Menjelaskan tentang pedoman perencanaan penugasan audit berdasarkan standar internasional. 2. Menjelaskan tentang konsep dasar audit intern berbasis risiko. 3. Menjelaskan tahapan dalam perencanaan penugasan audit berbasis risiko.4. Menjelaskan dan menyusun perencanaan penugasan audit dan perencanaan sumber daya dalam perencanaan audit berdasarkan standar audit APIP.
C.
DESKRIPSI SINGKAT MATERI PEMELAJARAN
Materi modul ini terdiri atas lima Bab dengan deskripsi singkat masing‐masing bab sebagai berikut. Bab I Pendahuluan Memuat penjelasan tentang kompetensi dasar, indikator keberhasilan, deskripsi singkat materi pemelajaran, dan metode pemelajaran. Bab II Pedoman dalam Perencanaan Penugasan AuditMemuat penjelasan tentang perencanaan penugasan audit, pengelolaan risiko aktivitas audit intern, dan keterkaitan antara rencana audit dengan risiko dan eksposur.
Bab III Konsep Dasar Audit Intern Berbasis Risiko
Memuat penjelasan tentang perkembangan peran auditor intern, tanggung jawab manajemen dan auditor intern berkaitan dengan risiko yang dihadapi oleh organisasi, audit intern berbasis risiko, tahapan audit intern berbasis risiko, manfaat dan kelemahan pendekatan audit intern berbasis risiko.
Bab IV Tahapan dalam Perencanaan Penugasan Audit Berbasis Risiko
Memuat penjelasan tentang risiko dan peta audit, tahapan dalam perencanaan penugasan audit berbasis risiko, dan perencanaan penugasan audit individual.
Bab V Penyusunan Perencanaan Penugasan Audit Berbasis Risiko bagi Aparat Pengawasan Intern Pemerintah
Memuat penjelasan tentang penyusunan perencanaan penugasan audit berbasis risiko bagi aparat pengawasan intern pemerintah (APIP) beserta formulir yang digunakan dan perencanaan sumber daya dalam perencanaan audit.
D.
METODE PEMELAJARAN
Agar peserta pendidikan dan pelatihan (diklat) mampu dengan cepat memahami substansi materi perencanaan penugasan audit, proses belajar mengajar menggunakan pendekatan andragogi (pemelajaran orang dewasa) melalui metode berikut. 1. Ceramah. 2. Diskusi/tanya jawab. 3. Latihan soal dan pemecahan kasus. ~
Bab II
PEDOMAN PERENCANAAN PENUGASAN AUDIT
Indikator Keberhasilan Setelah mempelajari bab ini, diharapkan para peserta diklat dapat memahami beberapa ketentuan dalam perencanaan penugasan audit dengan mempertimbangkan risiko.
A.
PERENCANAAN PENUGASAN AUDIT
Di dalam Standar Audit yang diterbitkan oleh The Institute of Internal Auditor (IIA) butir 2200 – Perencanaan Penugasan disebutkan bahwa auditor internal harus mengembangkan dan mendokumentasikan rencana untuk setiap penugasan, yang mencakup tujuan, ruang lingkup, waktu, dan alokasi sumber daya penugasan.
Selanjutnya, IIA memberikan panduan perencanaan penugasan tersebut secara lebih rinci sebagai berikut.
1. Auditor internal merencanakan dan melaksanakan penugasan berdasarkan reviu supervisor dan persetujuan dari pimpinan organisasi auditor internal atau personil yang ditunjuk. Sebelum dimulainya suatu penugasan, auditor internal menyiapkan program penugasan yang:
a. menyatakan tujuan penugasan
b. mengidentifikasi persyaratan teknis, tujuan, risiko, proses, dan transaksi yang akan diuji atau diperiksa
c. menyatakan sifat dan luasnya pengujian yang diperlukan
d. mendokumentasikan prosedur auditor internal untuk mengumpulkan, menganalisis, menafsirkan, dan mendokumentasikan informasi selama penugasan
e. memodifikasi sepanjang penugasan, bila perlu, dengan persetujuan pimpinan organisasi auditor internal atau personil yang ditunjuk.
2. Pimpinan organisasi auditor internal harus menetapkan tingkat formalitas dan dokumentasi sesuai dengan kebutuhan organisasi yang bersangkutan. Misalnya formalitas dan dokumentasi dari hasil rapat‐rapat perencanaan, prosedur penilaian risiko, tingkat rincinya program kerja, dan lain‐ lain. Faktor‐faktor yang perlu dipertimbangkan dalam hal ini antara lain sebagai berikut.
a. Apakah pekerjaan yang dilakukan dan/atau hasil penugasan akan diandalkan oleh pihak lain? (misalnya oleh auditor eksternal, pemerintah/regulator, atau manajemen)
b. Apakah pekerjaan berhubungan dengan hal‐hal yang terkait, atau berpotensi terkait dengan proses litigasi, baik yang sedang berjalan ataupun yang mungkin terjadi di masa mendatang? c. Tingkat pengalaman staf audit internal yang ditugaskan dan tingkat supervisi langsung yang
diperlukan.
d. Apakah penugasan dilakukan oleh staf internal, auditor tamu, atau oleh penyedia layanan eksternal?
e. Kompleksitas dan ruang lingkup penugasan. f. Ukuran dari aktivitas audit internal.
g. Nilai dokumentasi (misalnya, apakah dokumentasi tersebut masih akan digunakan dalam tahun‐tahun berikutnya).
3. Auditor internal menentukan hal‐hal lain terkait perencanaan penugasan, seperti periode yang dicakup, perkiraan tanggal penyelesaian, dan sebagainya. Auditor internal juga mempertimbangkan format final komunikasi atau laporan penugasan. Perencanaan ini akan membantu proses komunikasi atau pelaporan pada saat penyelesaian penugasan yang bersangkutan.
4. Auditor internal menginformasikan kepada manajemen dan personel lain yang perlu mengetahui adanya penugasan tersebut, melakukan pertemuan dengan manajemen yang bertanggung jawab atas aktivitas atau unit yang akan direviu, merangkum serta mendistribusikan hasil diskusi dan kesimpulan yang dicapai dari pertemuan tersebut, dan menyimpan dokumentasi dalam kertas kerja penugasan. Topik diskusi antara lain mencakup:
a. tujuan dan ruang lingkup penugasan yang direncanakan b. sumber daya dan waktu penugasan
c. faktor‐faktor kunci yang memengaruhi kondisi dan operasi bisnis dari area yang direviu, termasuk perubahan terkini dalam lingkungan bisnis, baik secara intern ataupun ekstern
d. perhatian atau permintaan dari manajemen.
5. Pimpinan organisasi auditor internal menentukan bagaimana, kapan, dan kepada siapa hasil penugasan akan dikomunikasikan. Auditor internal mendokumentasikan hal ini dan mengomunikasikannya kepada manajemen, bila dipandang perlu, dalam tahap perencanaan penugasan ini. Auditor internal terus mengomunikasikan setiap perubahan yang memengaruhi waktu atau pelaporan hasil penugasan kepada manajemen.
B.
PENGELOLAAN RISIKO AKTIVITAS AUDIT INTERNAL
Peran dan pentingnya audit internal telah berkembang pesat, dan ekspektasi para stakeholder kunci juga terus berkembang. Aktivitas audit internal memiliki mandat yang luas untuk mengatasi risiko‐risiko keuangan, operasional, teknologi informasi, hukum/peraturan, dan risiko strategis. Pada saat yang sama, banyak aktivitas audit internal menghadapi kesulitan sehubungan dengan ketersediaan personil yang qualified, tingkat kompensasi yang meningkat, serta permintaan yang tinggi untuk sumber daya dengan keahlian khusus (misalnya dalam bidang sistem informasi, fraud, dan perpajakan).
Kombinasi dari berbagai faktor ini menyebabkan tingkat risiko yang tinggi bagi aktivitas audit internal yang bersangkutan. Oleh karena itu, pimpinan organisasi auditor internal perlu mempertimbangkan risiko‐risiko tersebut dalam pencapaian tujuan aktivitas audit internal. Hal ini sekaligus menunjukkan bahwa aktivitas audit internal juga tidak kebal terhadap risiko. Mereka harus mengambil langkah yang diperlukan untuk memastikan bahwa risiko mereka sendiri juga telah dikelola secara memadai. Secara garis besar, risiko untuk aktivitas audit internal dapat dibedakan ke dalam tiga kategori, yaitu: 1. kegagalan audit (audit failure), 2. keyakinan yang keliru (false assurance), 3. risiko reputasi.
Pembahasan berikut ini menyoroti atribut‐atribut kunci berkaitan dengan risiko‐risiko tersebut dan bagaimana langkah‐langkah yang perlu diambil oleh aktivitas audit internal untuk memitigasinya.
1. Kegagalan Audit (Audit Failure)
Setiap organisasi dapat saja mengalami kelemahan pengendalian. Ketika kelemahan pengendalian tersebut dimanfaatkan sehingga terjadi kerugian ataupun kecurangan, banyak pihak biasanya akan menanyakan: “Di mana auditor internal?” Pertanyaan tersebut tidak sepenuhnya keliru, mengingat aktivitas audit internal dapat saja ‘berkontribusi’ dalam terjadinya kerugian tersebut melalui faktor‐faktor seperti berikut ini.
a. Tidak mengikuti Standar Internasional untuk Praktik Profesional Audit Internal.
b. Program pemastian dan peningkatan kualitas yang tidak berjalan sebagaimana mestinya, termasuk prosedur untuk memonitor independensi dan objektivitas auditor.
c. Proses penilaian risiko yang kurang efektif pada saat mengidentifikasi area‐area audit yang penting dalam penilaian risiko strategis (rencana tahunan), serta area‐area berisiko tinggi dalam perencanaan audit individual. Sebagai akibatnya, kegagalan untuk melakukan audit secara tepat dan/atau waktu yang terbuang karena ketidaktepatan audit tersebut.
d. Kegagalan untuk mendesain prosedur audit internal yang efektif untuk menguji risiko yang riil beserta pengendalian terkait yang tepat.
e. Kegagalan untuk mengevaluasi kecukupan desain dan efektivitas pengendalian sebagai bagian dari prosedur audit internal.
f. Penggunaan tim audit yang tidak memiliki tingkat kompetensi yang tepat berdasarkan pengalaman atau pengetahuan atas area‐area yang berisiko tinggi.
g. Kegagalan untuk menerapkan skeptisisme profesional yang tinggi dan penambahan prosedur audit yang diperlukan atas temuan atau kelemahan pengendalian.
h. Kegagalan supervisi audit internal yang memadai.
i. Mengambil keputusan yang keliru ketika menemukan beberapa indikasi kecurangan seperti, “Ini mungkin tidak material” atau “Kita tidak memiliki waktu atau sumber daya untuk menangani masalah ini.”
j. Kegagalan untuk mengomunikasikan kecurigaan kepada orang yang tepat. k. Kegagalan untuk membuat pelaporan secara memadai.
Kegagalan‐kegagalan audit di atas bukan hanya akan memalukan bagi aktivitas audit internal, namun lebih penting lagi juga dapat membawa organisasi terekspos risiko secara signifikan. Meskipun tidak ada jaminan mutlak bahwa kegagalan audit tersebut tidak akan terjadi, aktivitas
audit internal dapat menerapkan praktik‐praktik berikut ini untuk mengurangi risiko‐risiko tersebut.
a. Menyusun dan menerapkan secara konsisten program pemastian dan peningkatan kualitas. b. Mereviu peta audit (audit universe) secara periodik dengan memastikan metodologi reviu
untuk menentukan kelengkapan peta audit dengan memerhatikan dinamika profil risiko organisasi.
c. Mereviu rencana audit secara periodik untuk menilai kembali mana tugas yang memiliki risiko yang lebih tinggi. Dengan “penandaan” tugas berisiko tinggi, manajemen aktivitas audit internal memiliki visibilitas yang lebih baik dan memiliki lebih banyak waktu terhadap tugas‐tugas kritikal.
d. Merencanakan audit secara efektif, karena tidak ada pengganti untuk perencanaan audit yang efektif. Proses perencanaan yang menyeluruh dengan mencakup fakta‐fakta terkini yang relevan tentang klien, serta penilaian risiko yang efektif, secara signifikan dapat mengurangi risiko kegagalan audit. Selain itu, pemahaman ruang lingkup tugas dan prosedur audit internal yang akan dilakukan, adalah elemen penting dari proses perencanaan, yang juga akan mengurangi risiko kegagalan audit.
e. Membuat checkpoint yang harus dilakukan oleh manajemen audit internal dalam proses audit, dan memperoleh persetujuan penyimpangan lingkup/prosedur dari rencana yang telah disepakati, juga merupakan pengendalian penting.
f. Mendesain audit yang efektif. Dalam banyak kasus, cukup banyak waktu yang dihabiskan untuk memahami dan menganalisis desain sistem pengendalian intern untuk menentukan apakah itu memberikan pengendalian yang memadai sebelum memulai pengujian untuk efektivitasnya. Cara ini akan memberikan dasar yang kuat untuk menemukan sebab mendasar atau root causes (bukan sekedar gejala), yang terkadang juga merupakan akibat dari desain pengendalian yang kurang. Mengidentifikasi pengendalian yang kurang/hilang ini juga akan mengurangi kemungkinan kegagalan audit.
g. Menerapkan reviu manajemen secara lebih dini dan prosedur eskalasi. Keterlibatan manajemen audit internal dalam proses audit internal (yaitu sebelum penyusunan draf laporan) memainkan peran penting dalam mengurangi risiko kegagalan audit. Keterlibatan di sini bisa berupa reviu kertas kerja, diskusi terkait dengan temuan secara lebih dini, atau terlibat dalam rapat penutupan (closing meeting). Dengan keterlibatan manajemen aktivitas audit internal dalam proses audit internal secara lebih dini, masalah potensial dalam penugasan dapat diidentifikasi dan dinilai secara lebih dini. Selain itu, aktivitas audit internal
perlu juga memiliki prosedur atau pedoman yang menguraikan kapan dan apa jenis isu‐isu yang perlu diangkat atau dieskalasi ke tingkat manajemen audit internal.
h. Alokasi sumber daya yang tepat untuk menetapkan staf yang tepat bagi setiap penugasan audit internal. Hal ini terutama penting ketika merencanakan suatu risiko yang lebih tinggi atau penugasan yang sangat teknis. Memastikan kompetensi yang sesuai ada di tim yang ditugaskan dapat memainkan peran penting dalam mengurangi risiko kegagalan audit. Selain kompetensi yang tepat, penting pula untuk memastikan tingkat pengalaman dalam tim yang bersangkutan, termasuk keterampilan manajemen proyek yang kuat bagi mereka yang memimpin penugasan audit internal.
2. Keyakinan yang Keliru (False Assurance)
Aktivitas audit internal mungkin saja secara tidak sengaja memberikan efek keyakinan yang keliru. “False Assurance” adalah suatu keyakinan atau pemastian dari audit beneficiaries yang lebih didasarkan pada persepsi atau asumsi ketimbang fakta. Dalam banyak kasus, fakta dan persepsi tercampur baur dalam hal keterlibatan auditor internal pada suatu masalah dapat menyebabkan false assurance. False assurance sering terjadi pada aktivitas‐aktivitas yang melibatkan auditor internal dalam penugasan‐penugasan di luar penugasan formal audit internal.
Sebagai contoh, sebuah aktivitas audit internal diminta oleh unit bisnis untuk menyediakan auditor demi membantu implementasi sistem komputer baru pada satuan kerja/unit organisasi/perusahaan. Dalam kenyataannya, auditor yang diperbantukan tersebut hanya membantu beberapa pengujian pada area‐area tertentu dalam sistem tersebut sesuai permintaan unit bisnis yang bersangkutan. Tak lama setelah implementasi sistem tersebut, ditemukan kesalahan dalam desain sistem yang mengakibatkan dampak yang cukup serius. Ketika unit bisnis ditanya bagaimana hal tersebut bisa terjadi, mereka menjawab bahwa aktivitas audit internal telah terlibat dalam proses dan tidak mengidentifikasi masalah tersebut. Di sini terlihat inkonsistensi fakta bahwa auditor internal hanya menguji secara parsial dan bukan dalam rangka penugasan audit sistem informasi secara penuh, dengan persepsi unit bisnis yang bersangkutan bahwa auditor internal telah terlibat dalam proyek tersebut.
Meskipun tidak ada mitigasi yang dapat menghilangkan secara keseluruhan risiko false assurance, suatu aktivitas audit internal secara proaktif dapat mengelola risiko ini dengan melakukan komunikasi yang cukup sering dan jelas dengan berbagai pihak. Praktik‐praktik lain yang dapat dilakukan antara lain sebagai berikut.
a. Secara proaktif mengomunikasikan peran dan mandat dari aktivitas audit internal kepada komite audit, manajemen senior, dan stakeholder kunci lainnya.
b. Secara jelas mengomunikasikan apa yang tercakup dalam penilaian risiko, rencana audit internal dan penugasan audit internal. Juga secara eksplisit mengomunikasikan apa yang tidak termasuk dalam lingkup penilaian risiko dan rencana audit internal.
c. Memiliki mekanisme persetujuan terhadap proyek‐proyek yang dimintakan kepada aktivitas audit internal untuk terlibat. Dalam mekanisme itu ada penilaian peran audit internal dalam proyek tersebut dan seberapa besar tingkat risiko yang terkait. Penilaian ini dapat menggunakan pertimbangan lingkup proyek, peran audit internal, ekspektasi pelaporan, kompetensi yang dibutuhkan, dan independensi auditor internal.
d. Jika auditor internal diperbantukan untuk menambah staf dari suatu proyek, dokumentasikan peran mereka dan lingkup keterlibatan mereka, serta potensi gangguan objektivitas dan independensi mereka sebagai auditor internal di masa depan.
3. Risiko Reputasi
Reputasi yang kredibel suatu aktivitas audit internal merupakan bagian penting dari efektivitasnya. Aktivitas audit internal yang dipandang dengan penghormatan tinggi akan mampu menarik para profesional terbaik dan akan sangat dihargai oleh organisasi mereka. Mempertahankan brand yang kuat sangat penting untuk keberhasilan aktivitas audit internal dan kemampuan untuk memberikan kontribusi optimal kepada organisasi. Dalam banyak kasus, brand aktivitas audit internal perlu dibangun selama bertahun‐tahun melalui kerja‐kerja yang berkualitas tinggi secara konsisten. Sangat disayangkan apabila brand ini kemudian hancur hanya karena satu kejadian buruk yang tidak semestinya.
Sebagai contoh, pada organisasi di mana aktivitas audit internal pada suatu organisasi begitu dihargai, sehingga menjadi tempat rotasi bagi eksekutif kunci yang dipersiapkan untuk menduduki jabatan lanjutan. Akan sangat memalukan apabila aktivitas audit internal itu sendiri tidak memiliki sumber daya dan sistem yang siap menjadi ‘tempat sekolah’ para calon pemimpin tersebut. Ini terkait kredibilitas institusional. Pada contoh yang lain, perekrutan auditor internal yang tidak memerhatikan background check, sehingga misalnya, mendapatkan personel yang pernah terlibat tindakan kriminal atau tidak memiliki kualifikasi yang sesuai, juga dapat mencederai kredibilitas aktivitas audit internal. Situasi‐situasi tersebut tidak hanya memalukan namun juga merusak efektivitas aktivitas audit internal. Dengan demikian, menjaga reputasi ini bukan hanya melindungi brand aktivitas audit internal, namun juga untuk keseluruhan organisasi.
Berdasarkan uraian di atas, menjadi sangat penting bagi aktivitas audit internal untuk senantiasa menimbang risiko‐risiko yang dihadapi yang dapat memengaruhi reputasi ini serta mengembangkan strategi mitigasi untuk mengatasi risiko‐risiko tersebut. Di antara praktik‐praktik yang lazim untuk memitigasi risiko‐risiko ini, antara lain berikut ini.
a. Menerapkan program pemastian kualitas dan peningkatan yang kuat terhadap semua proses dalam aktivitas audit internal, termasuk SDM dan perekrutan.
b. Secara berkala melakukan penilaian risiko untuk aktivitas audit internal sendiri, untuk mengidentifikasi potensi risiko terhadap brand‐nya.
c. Terus‐menerus menegakkan kode etik dan standar perilaku untuk auditor internal.
d. Memastikan bahwa aktivitas audit internal telah mematuhi seluruh kebijakan dan peraturan yang berlaku dalam organisasi.
Walaupun tentu tidak diharapkan, dalam hal kondisi atau kejadian buruk tersebut di atas menimpa aktivitas audit internal, maka pimpinan organisasi auditor internal harus mereviu dan menganalisis akar permasalahannya. Root cause analysis ini akan memberikan pemahaman apakah ada perubahan yang terjadi dalam proses dan lingkungan pengendalian aktivitas audit internal yang perlu diperhatikan, agar masalah tersebut sedapat mungkin tidak terjadi lagi di masa depan.
C.
MENGHUBUNGKAN RENCANA AUDIT DENGAN RISIKO DAN EKSPOSUR
Di dalam Standar tentang Perencanaan, pimpinan organisasi auditor internal harus menetapkan rencana berbasis risiko untuk menentukan prioritas aktivitas audit internal, yang konsisten dan selaras dengan tujuan organisasi. Untuk itu, pimpinan organisasi auditor internal harus mempertimbangkan kerangka kerja manajemen risiko organisasi, termasuk dengan menggunakan risk appetite yang ditetapkan oleh manajemen untuk berbagai kegiatan atau bagian dari organisasi. Jika kerangka kerja manajemen risiko tidak tersedia, pimpinan organisasi auditor internal menggunakan penilaiannya sendiri atas risiko‐risiko yang ada setelah berkonsultasi dengan jajaran manajemen puncak dalam organisasi.
Selanjutnya, IIA memberikan panduan untuk menghubungkan (linking) antara rencana audit dan risiko tersebut, yaitu sebagai berikut.
1. Dalam mengembangkan rencana audit aktivitas audit internal, banyak pimpinan organisasi auditor internal memandang penting untuk pertama‐tama mengembangkan atau memperbarui peta audit (audit universe). Peta audit adalah daftar semua kemungkinan audit yang dapat dilakukan.
Pimpinan organisasi auditor internal dapat memperoleh masukan atas peta audit dari manajemen puncak.
2. Peta audit mencakup komponen‐komponen dari rencana strategis organisasi. Dengan mencakup komponen‐komponen dari rencana strategis organisasi, peta audit telah mempertimbangkan dan mencerminkan tujuan bisnis secara keseluruhan. Rencana strategis juga cenderung mencerminkan sikap organisasi terhadap risiko dan tingkat kesulitan untuk mencapai tujuan yang telah ditetapkan. Peta audit biasanya akan dipengaruhi oleh hasil proses manajemen risiko. Rencana strategis organisasi itu juga mempertimbangkan lingkungan di mana organisasi beroperasi. Faktor‐ faktor lingkungan yang sama kemungkinan akan berdampak terhadap peta audit dan penilaian risiko‐risiko terkait.
3. Pimpinan organisasi auditor internal menyiapkan rencana audit berdasarkan peta audit, masukan dari manajemen puncak dalam organisasi, serta penilaian risiko dan eksposur yang memengaruhi organisasi. Tujuan utama audit adalah untuk memberikan keyakinan (assurance) dan informasi bagi manajemen puncak dalam organisasi untuk membantu mereka mencapai tujuan organisasi, termasuk penilaian efektivitas kegiatan manajemen risiko dari manajemen puncak.
4. Peta audit dan rencana audit yang terkait akan diperbarui untuk mencerminkan perubahan dalam arah, tujuan, penekanan, dan fokus manajemen. Disarankan untuk menilai peta audit setidaknya setiap tahun, sehingga mencerminkan strategi dan arah organisasi terkini. Dalam beberapa situasi, rencana audit mungkin perlu diperbarui lebih sering (misalnya, triwulanan) untuk merespons terhadap perubahan dalam bisnis organisasi, operasi, program, sistem, dan pengendalian.
5. Jadwal penugasan audit didasarkan pada faktor‐faktor antara lain, penilaian risiko dan eksposur. Pemrioritasan diperlukan untuk membuat keputusan pembagian sumber daya. Terdapat berbagai model risiko untuk membantu pimpinan organisasi auditor internal. Sebagian besar model risiko menggunakan faktor risiko seperti dampak (impact), kemungkinan (likelihood), materialitas, likuiditas aset, kompetensi manajemen, kualitas dan kepatuhan pengendalian internal, tingkat perubahan atau stabilitas, waktu dan hasil penugasan audit terakhir, kompleksitas, dan karyawan.
D.
MENGGUNAKAN PROSES MANAJEMEN RISIKO DALAM PERENCANAAN AUDIT
INTERNAL
Dalam standar audit tentang Perencanaan, pimpinan organisasi auditor internal harus menetapkan rencana berbasis risiko untuk menentukan prioritas aktivitas audit internal, yang konsisten selaras dengan tujuan organisasi. Dengan demikian, tidak terhindarkan bagi aktivitas audit internal untuk
menggunakan proses manajemen risiko yang ada di dalam organisasi sebagai bagian dari proses perencanaan tersebut. Penggunaan proses yang ada sangat penting karena akan mendorong cara pandang dan bahasa yang sama antara aktivitas audit internal dan unit lain di dalam organisasi terhadap risiko dan proses manajemen risiko.
Penggunaan manajemen risiko dalam perencanaan ini diberikan pedoman lebih lanjut oleh IIA yaitu sebagai berikut.
1. Manajemen risiko adalah bagian penting dalam penerapan tata kelola yang sehat yang menyentuh seluruh kegiatan organisasi. Banyak organisasi yang tergerak untuk mengadopsi pendekatan manajemen risiko yang konsisten dan holistik, yang terintegrasi sepenuhnya ke dalam manajemen organisasi. Ini berlaku di semua tingkatan organisasi, baik tingkat organisasi keseluruhan, fungsi, atau unit bisnis. Manajemen biasanya menggunakan kerangka kerja manajemen risiko tertentu untuk melakukan penilaian dan mendokumentasikan hasil penilaian.
2. Suatu proses manajemen risiko yang efektif dapat membantu dalam mengidentifikasi pengendalian utama yang terkait dengan risiko melekat (inherent risk) yang signifikan. Enterprise Risk Management (ERM) adalah istilah yang umum digunakan. The Committee of Sponsoring Organizations (COSO) dari Treadway Commission mendefinisikan ERM sebagai “suatu proses, yang dilakukan oleh dewan direksi organisasi, manajemen, dan personil lainnya, diterapkan dalam menyusun strategi di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang dapat memengaruhi organisasi, dan mengelola risiko untuk berada dalam risk appetite, untuk memberikan keyakinan memadai tentang pencapaian tujuan organisasi”. Pelaksanaan pengendalian adalah salah satu metode yang umum digunakan oleh manajemen untuk mengelola risiko agar tetap di dalam risk appetite‐nya. Auditor internal melakukan audit terhadap pengendalian kunci dan memberikan keyakinan pada proses manajemen risiko yang signifikan.
3. Standar mendefinisikan pengendalian sebagai “setiap tindakan yang diambil oleh manajemen, dewan, dan pihak lain untuk mengelola risiko dan meningkatkan kemungkinan bahwa tujuan dan sasaran akan dicapai. Manajemen merencanakan, mengatur, dan mengarahkan pelaksanaan tindakan yang cukup untuk memberikan keyakinan memadai bahwa tujuan dan sasaran akan dicapai.”
4. Dua konsep risiko yang fundamental adalah risiko melekat (inherent risk) dan risiko sisa (residual risk, juga dikenal sebagai current risk). Auditor eksternal/finansial sejak lama telah memiliki konsep risiko melekat yang secara ringkas diartikan sebagai kerentanan salah saji material atas
informasi atau data, dengan asumsi tidak terdapat pengendalian terkait untuk memitigasi kerentanan tersebut. Standar mendefinisikan risiko residual sebagai “risiko yang tersisa setelah manajemen mengambil tindakan untuk mengurangi dampak (impact) dan kemungkinan (likelihood) dari suatu peristiwa buruk (adverse events), termasuk aktivitas pengendalian dalam menanggapi risiko.” Sedangkan current risk sering didefinisikan sebagai risiko yang dapat dikelola dalam pengendalian atau sistem pengendalian yang ada.
5. Pengendalian utama (key control) dapat didefinisikan sebagai pengendalian atau kelompok pengendalian yang membantu mengurangi risiko ke tingkat yang dapat ditoleransi, di luar risiko yang dinyatakan tidak dapat diterima. Dalam suatu proses manajemen risiko yang efektif (dengan dokumentasi yang memadai), pengendalian utama dapat dengan mudah diidentifikasi dari perbedaan antara risiko melekat dan risiko residual. Jika penilaian belum diberikan terhadap risiko melekat, auditor internal dapat melakukan sendiri estimasi penilaian risiko melekat tersebut. Pada saat mengidentifikasi pengendalian utama (dengan asumsi auditor internal telah dapat menyimpulkan bahwa proses manajemen risiko berada pada tingkat mature dan dapat diandalkan), auditor internal perlu mencari:
a. faktor‐faktor risiko individual mana yang terdapat penurunan yang signifikan dari risiko melekat ke risiko residual (terutama jika risiko melekat sangat tinggi), Ini untuk menyoroti pengendalian yang penting/utama bagi organisasi
b. pengendalian‐pengendalian yang berfungsi untuk memitigasi sejumlah besar risiko.
6. Perencanaan audit internal perlu memanfaatkan proses manajemen risiko organisasi, bila proses tersebut telah berjalan. Dalam merencanakan penugasan, auditor internal perlu mempertimbangkan risiko signifikan dari kegiatan dan juga sarana yang digunakan manajemen untuk memperkecil risiko tersebut pada tingkat yang dapat diterima. Auditor internal menggunakan teknik penilaian risiko dalam pengembangan rencana aktivitas audit internal termasuk dalam menentukan prioritas untuk mengalokasikan sumber daya audit internal. Penilaian risiko digunakan untuk mereviu area‐area yang dapat diaudit (auditable units) dan untuk kemudian dipilih area‐area yang memiliki risiko terbesar ke dalam rencana aktivitas audit internal. 7. Auditor internal mungkin tidak memenuhi kualifikasi yang diperlukan untuk mengevaluasi setiap
kategori risiko dan proses ERM di dalam organisasi (misalnya, audit internal terhadap kesehatan dan keselamatan kerja, audit lingkungan, atau instrumen keuangan yang kompleks). Pimpinan organisasi auditor internal harus memastikan untuk menggunakan auditor internal dengan keahlian khusus atau penyedia layanan eksternal untuk melakukan evaluasi dengan tepat.
8. Proses dan sistem manajemen risiko bisa diterapkan secara berbeda‐beda di antara organisasi di seluruh dunia, sesuai dengan tingkat kematangan (maturity level) manajemen risiko pada organisasi yang bersangkutan. Apabila organisasi memiliki kegiatan manajemen risiko secara terpusat, peran kegiatan ini termasuk pula mengoordinasikan dengan manajemen mengenai reviu terus‐menerus terhadap struktur pengendalian agar terus sesuai dengan selera risiko (risk appetite) yang terus bergerak. Proses manajemen risiko yang digunakan di berbagai belahan dunia mungkin memiliki logika, struktur, dan terminologi yang berbeda. Oleh karena itu, auditor internal perlu membuat penilaian terhadap proses manajemen risiko organisasi untuk kemudian menentukan bagian mana dari proses tersebut yang dapat digunakan dalam mengembangkan rencana aktivitas audit internal dan bagian mana untuk perencanaan penugasan audit internal secara individual.
9. Faktor‐faktor yang perlu diperhatikan ketika mengembangkan rencana audit internal meliputi berikut ini.
a. Risiko inheren – Apakah telah diidentifikasi dan dinilai? b. Risiko residual – Apakah telah diidentifikasi dan dinilai?
c. Pengendalian mitigasi, rencana kontinjensi, dan aktivitas pemantauan – Apakah telah dikaitkan dengan peristiwa dan/atau risiko individual? d. Daftar risiko (risk register) – Apakah disusun secara sistematis, lengkap, dan akurat? e. Dokumentasi – Apakah risiko dan kegiatan didokumentasikan? Selain itu, auditor internal perlu berkoordinasi dengan penyedia layanan assurance lainnya serta mempertimbangkan apakah dapat menggunakan hasil pekerjaan mereka (hal ini diatur lebih lanjut dalam practice advisory mengenai assurance maps).
10. Piagam audit internal pada umumnya mengharuskan aktivitas audit internal untuk fokus pada area‐area yang berisiko tinggi, baik dari aspek risiko melekat ataupun residual. Aktivitas audit internal perlu mengidentifikasi area‐area yang memiliki risiko melekat tinggi, risiko residual tinggi, dan sistem pengendalian utama yang diandalkan organisasi untuk melakukan mitigasi. Jika aktivitas audit internal mengidentifikasi adanya area‐area risiko residual yang tidak dapat diterima (unacceptable), manajemen perlu segera diberitahu sehingga risiko tersebut dapat ditangani. Dari proses ini auditor internal akan mampu mengidentifikasi berbagai jenis kegiatan yang bisa dimasukkan dalam rencana kegiatan, termasuk berikut ini.
a. Kegiatan reviu/assurance pengendalian – di mana auditor internal melakukan reviu kecukupan dan efisiensi sistem pengendalian serta memberikan assurance bahwa pengendalian telah berjalan dan risiko telah dikelola secara efektif.
b. Kegiatan inquiry di mana ketika manajemen organisasi mendapati pengendalian tertentu berada pada tingkatan yang tidak dapat diterima, terkait dengan suatu kegiatan bisnis atau area risiko terkait serta auditor internal melakukan serangkaian prosedur untuk mendapatkan pemahaman yang lebih baik tentang risiko dan pengendalian dimaksud. c. Kegiatan konsultasi (consulting) – di mana auditor internal menyarankan manajemen
organisasi mengembangkan sistem pengendalian untuk mengurangi risiko saat ini (current risk) yang berada pada tingkatan tidak dapat diterima.
Auditor internal juga mengidentifikasi pengendalian yang tidak perlu, tumpang tindih, berlebihan, atau kompleks sehingga tidak efisien dalam mengurangi risiko. Dalam kasus‐kasus ini, biaya pengendalian mungkin lebih besar daripada manfaat yang didapatkan, sehingga desain pengendalian mungkin perlu diperbaiki.
11. Untuk memastikan bahwa risiko yang relevan teridentifikasi, proses identifikasi risiko harus dilakukan secara sistematis dan didokumentasikan dengan jelas. Dokumentasi dapat bervariasi, dari cukup dilakukan dengan spreadsheet untuk organisasi yang kecil hingga penggunaan perangkat lunak yang canggih untuk organisasi yang kompleks. Prinsipnya adalah bahwa kerangka kerja manajemen risiko didokumentasikan secara keseluruhan.
12. Dokumentasi manajemen risiko di dalam sebuah organisasi bisa berada di berbagai tingkat di bawah tingkatan strategis dari proses manajemen risiko. Banyak organisasi mengembangkan daftar risiko untuk mendokumentasikan risiko‐risiko di bawah tingkat strategis, yang berisi dokumentasi mengenai risiko signifikan di suatu area beserta penilaian risiko melekat dan residual, pengendalian utama, dan faktor‐faktor mitigasinya. Selanjutnya, dapat dilakukan alignment untuk mengidentifikasi hubungan yang lebih langsung antara kategori dan aspek risiko yang terdokumentasikan dalam register risiko dengan dokumentasi peta audit yang ada pada aktivitas audit internal.
13. Beberapa organisasi mungkin mengidentifikasi beberapa area dengan risiko melekat yang tinggi sekaligus. Meskipun risiko yang tinggi harus menjadi perhatian aktivitas audit internal, namun tidak selalu untuk memasukkan semuanya ke dalam perencanaan audit internal. Dalam hal daftar risiko masih menunjukkan adanya beberapa area yang berisiko tinggi, namun tidak ada tindakan manajemen serta tidak memungkinkan lagi untuk dimasukkan dalam perencanaan aktivitas audit
internal, pimpinan organisasi auditor internal melaporkan area‐area tersebut secara terpisah kepada jajaran manajemen puncak dengan rincian analisis risiko dan alasan kurangnya/ ketidakefektifan pengendalian internal terkait.
14. Area‐area yang memiliki risiko yang lebih rendah, tidak selamanya diabaikan untuk masuk dalam perencanaan audit internal. Secara berkala, area‐area dengan risiko lebih rendah dapat dipilih untuk menunjukkan bahwa area‐area tersebut tetap merupakan area yang di‐cover oleh aktivitas audit internal dan lebih penting lagi, untuk memastikan risiko‐risiko yang pernah dinilai rendah tersebut tetap rendah. Lebih lanjut, aktivitas audit internal perlu menetapkan metode untuk mempergilirkan prioritas risiko‐risiko yang belum tersentuh oleh audit internal.
15. Rencana aktivitas audit internal pada umumnya difokuskan pada berikut ini.
a. Risiko residual yang tidak dapat diterima di mana manajemen perlu segera bertindak. Ini merupakan area‐area dengan pengendalian utama atau faktor‐faktor mitigasi yang minimal. b. Sistem pengendalian di mana organisasi sangat tergantung/mengandalkan.
c. Area‐area dimana terdapat perbedaan besar antara risiko melekat dengan risiko residual. d. Area‐area di mana risiko melekat sangat tinggi.
16. Ketika merencanakan penugasan audit internal individual, auditor internal mengidentifikasi dan menilai risiko terkait dengan area yang sedang diaudit.
E.
LATIHAN SOAL
1. Jelaskan risiko berupa keyakinan yang keliru (false assurance) dalam aktivitas audit internal! 2. Jelaskan praktik‐praktik yang lazim untuk memitigasi risiko dalam aktivitas audit internal berbasis risiko! 3. Jelaskan perbedaan antara risiko melekat (inherent risk) dengan risiko sisa (residual risk)!4. Jelaskan jenis kegiatan yang dapat dimasukkan dalam rencana kegiatan internal auditor setelah dilakukannya identifikasi risiko!
5. Apa yang harus dilakukan oleh auditor internal terhadap area‐area yang memiliki risiko yang lebih rendah dari risk appetite?
~
Bab III
KONSEP DASAR AUDIT INTERNAL BERBASIS RISIKO
Indikator Keberhasilan Setelah mempelajari bab ini, diharapkan para peserta diklat mampu menjelaskan perkembangan peran auditor internal, pengertian audit berbasis risiko, perbedaan pendekatan antara audit internal secara tradisional dengan audit berbasis risiko, tahapan dalam audit berbasis risiko, manfaat dan kelemahan pendekatan audit berbasis risiko.
A.
PERKEMBANGAN PERAN AUDITOR INTERNAL
Definisi dan peran audit internal telah mengalami evolusi yang pesat hingga saat ini. Pada awalnya, peran audit internal hanya terbatas semata‐mata pada proses pengidentifikasian pelanggaran dan menekankan ketaatan terhadap ketentuan perundang‐undangan yang berlaku. Dalam perkembangannya, audit internal diperkenalkan kepada pemahaman yang menyeluruh mengenai risiko dalam organisasi auditi atau yang dikenal dengan audit internal berbasis risiko (risk‐based internal auditing). Berikut ini adalah evolusi yang terjadi pada pendekatan peran audit internal, menurut Paul J. Sobel (2004).
Pendekatan awal audit internal hanya berupa shotgun approach, yakni merupakan pendekatan audit internal secara tradisional berupa post the facts, dimana audit hanya bertujuan untuk mengungkap temuan, mencari‐cari dan mengidentifikasi kesalahan maupun pelanggaran baik dalam aktivitas, kebijakan maupun pelaporan organisasi. Selanjutnya, pendekatan audit internal berkembang menjadi compliance‐based approach, yakni pendekatan audit dengan melakukan pengecekan terhadap keselarasan antara kebijakan dan prosedur yang dilaksanakan oleh organisasi dengan ketetapan regulasi. Hal ini mempunyai keterbatasan, misalnya, jika terdapat aktivitas yang tidak sejalan dengan aturan dan merupakan inovasi pihak manajemen organisasi karena aturan yang ditetapkan sudah tidak sesuai dengan kondisi yang ada (out of date). Jika auditor tidak bisa memahami perspektif pihak manajemen auditi maka pendekatan audit internal seperti ini bisa jadi kontraproduktif, karena membatasi kreativitas
pihak manajemen auditi. Artinya, meskipun manajemen bertindak berdasarkan ketentuan dan kreativitas (inovatif) tetapi hal tersebut mungkin tidak dapat diterima oleh auditor.
Dalam perkembangan berikutnya, audit internal mengikuti pendekatan control‐based approach, yaitu auditor menggunakan pengendalian internal yang merupakan praktik terbaik (best practice) sebagai acuan/kriteria dalam audit. Tim auditor punya checklist dan framework tersendiri mengenai aktivitas mana saja yang perlu dikendalikan. Kelemahan dari pendekatan ini adalah auditor internal seringkali terlalu menekankan pada unsur pengendalian, sehingga melupakan pertimbangan faktor praktis maupun cost‐benefit dalam implementasi pengendalian tersebut.
Perkembangan pendekatan audit internal terkini sudah mengarah kepada audit internal berbasis risiko (risk‐based audit), dimana auditor pertama‐tama harus memahami dulu bagaimana visi, misi, tujuan, target, dan strategi dari organisasi, baru kemudian mengidentifikasi dan menganalisis risiko yang berpotensi menghalangi pencapaian tujuan. Auditor bertugas untuk menentukan apakah pengendalian sudah ditempatkan dengan baik dan berjalan secara efektif dalam mengelola risiko organisasi. Pada metodologi risk‐based audit, manajemen organisasi tidak hanya sekadar memiliki pemahaman yang menyeluruh mengenai risiko, melainkan juga mengontrol pengelolaannya dan memastikan bahwa pengendalian yang ada sudah berjalan secara efektif.
Berdasarkan uraian tersebut di atas, dapat disimpulkan bahwa pada awalnya peran audit internal hanya sekedar post the facts atau mengungkap fakta atau temuan kesalahan. Dengan pendekatan risk‐based audit, auditor internal saat ini diharapkan dapat melakukan anticipation before the facts, yaitu melakukan tindakan antisipasi sebelum kesalahan benar‐benar terjadi. Untuk melakukan pendekatan risk‐based audit ini, fungsi manajemen risiko dari suatu organisasi harus bekerja sama dengan fungsi audit internal sehingga risiko dapat terus‐menerus dimonitor dan dikelola secara proaktif sebelum benar‐benar terjadi dan membahayakan pencapaian tujuan organisasi.
B.
PENGERTIAN RISIKO
Dalam kehidupan setiap manusia, baik secara sadar maupun tidak sadar, selalu berhadapan dengan risiko. Kegagalan mencapai target, tujuan dan sasaran yang telah ditetapkan merupakan risiko dalam kehidupan manusia dan organisasi. David Mc. Namee dan Georges Selim (1998) memberikan definisi tentang risiko (risk) sebagai berikut: “Risk is a concept used to express uncertainty about events and/or their outcomes that could have a material effect on the goals of the organizations.” Dalam kalimat yang sederhana, risiko adalah suatu istilah/terminologi yang digunakan untuk mengekspresikan
ketidakpastian tentang kejadian dan/atau dampaknya yang dapat berpengaruh secara signifikan atas pencapaian tujuan organisasi.
Melalui definisi di atas, dapat disimpulkan bahwa konsep risiko selalu memiliki keterkaitan dengan ketidakpastian atas suatu kejadian baik yang disadari maupun yang tidak disadari sebelumnya. Akan tetapi, risiko bukanlah sesuatu yang perlu dikhawatirkan sepanjang risiko tersebut dapat dikelola dengan baik. Pengelolaan risiko inilah yang sering disebut dengan istilah risk management. Pengelolaan risiko merupakan pengelolaan atas ketidakpastian.
C.
TANGGUNG JAWAB MANAJEMEN
Setiap kegiatan yang dilaksanakan untuk mencapai suatu tujuan atau sasaran akan menghadapi berbagai risiko. Kunci keberhasilan mencapai tujuan atau sasaran adalah bagaimana pihak manajemen organisasi mengelola risiko tersebut. Pengertian manajemen risiko didefinisikan oleh The Institute of Internal Auditor (IIA), yaitu sebagai berikut:
“A process to identify, assess, manage, and control potential events or situation, to provide reasonable assurance regarding the achievement of the organization’s objectives. Risk management is a fundamental element of corporate governance. Management is responsible for establishing and operating the risk management framework on behalf of the board.”
Suatu proses pengidentifikasian, penilaian, pengelolaan, dan pengendalian kejadian atau situasi potensial untuk memberikan keyakinan yang memadai tentang pencapaian tujuan organisasi. Manajemen risiko adalah elemen fundamental dari pengelolaan yang baik. Manajemen bertanggung jawab untuk menciptakan dan mengoperasikan kerangka manajemen risiko untuk kepentingan organisasi.
Tantangan yang dihadapi oleh pihak manajemen adalah bagaimana pihak manajemen dapat mengantisipasi berbagai risiko yang memiliki peluang untuk menghambat pencapaian tujuan organisasi. Australian Risk Management Standard 4360 mendefinisikan manajemen risiko sebagai “kultur, proses, dan struktur yang diarahkan untuk merealisasikan peluang potensial dan sekaligus mengelola dampak yang merugikan”.
Selanjutnya, merujuk pada pedoman manajemen risiko yang dikeluarkan oleh Smith and Turnbull (2003), secara jelas dikatakan bahwa yang bertanggung jawab terhadap risiko baik internal maupun eksternal adalah manajemen organisasi. Manajemen harus mengidentifikasi risiko, melakukan penilaian, dan membuat daftar/register risiko. Unit Enterprise Risk Management merupakan salah satu komponen internal control kerangka COSO (Committee on the Sponsoring Organization of the Treadway
Commission) yang harus dimiliki oleh organisasi. Unit inilah yang bertanggung jawab dalam mengelola risiko dalam suatu organisasi. Risiko yang sudah diolah (diidentifikasi, dinilai, dan dikategorikan) dan dimasukkan dalam register risiko.
Pengelolaan risiko menyangkut langkah pihak manajemen untuk membuat agar risiko dapat dikendalikan di bawah batas toleransi (risk appetite). Menurut David Griffiths (2006), pengelolaan risiko dilakukan dengan cara sebagai berikut.
1. Avoid the risks atau menghindari risiko. Contoh cara menghindari risiko adalah dengan menghentikan kegiatan yang menghasilkan bahan‐bahan kimia yang berbahaya, meskipun sebenarnya peluang bisnis ini bagus.
2. Transfer risks atau memindahkan risiko. Contoh pengalihan risiko yang mudah dipahami adalah dengan menutup asuransi untuk mengalihkan risiko kepada pihak lain.
3. Tolerate risks without planning any contingencies atau menolerir risiko tanpa menyiapkan rencana antisipasi. Contohnya, risiko kejatuhan benda‐benda langit yang tidak bisa diantisipasi sehingga tidak ada persiapan khusus untuk mencegahnya.
4. Tolerate risks and plan contingencies atau menolerir risiko dan menyiapkan langkah antisipatif. Contohnya, kemungkinan kerusakan yang terjadi pada pabrik/alat produksi/reaktor nuklir diantisipasi dengan menggunakan beberapa rencana tindakan.
5. Treat risk atau menangani risiko, yaitu melakukan proses tertentu untuk mengurangi konsekuensi atas kemungkinan terjadinya risiko. Proses seperti ini dilakukan dengan memasang sejumlah alat pengendalian seperti memasang alat alarm kebakaran atau alarm bencana tsunami.
D.
TANGGUNG JAWAB AUDITOR INTERNAL
Dalam konteks risiko ini, audit internal memberikan opini secara objektif dan independen kepada manajemen organisasi berkaitan dengan pertanyaan: apakah semua risiko yang ada telah dikelola dalam batas toleransi yang telah ditetapkan? Berdasarkan pernyataan tersebut, terdapat tiga kata kunci yang sangat relevan dengan tugas dan peran auditor internal. Kata kunci penting pertama, yaitu objektif harus dimaknai bahwa opini yang disampaikan oleh auditor internal semata‐mata hanya berdasarkan fakta yang ditemukan dan tidak bias dalam menyampaikannya serta bukan didasarkan pada apa yang dikehendaki oleh pimpinan. Kata kunci kedua, yaitu independen harus dimaknai bahwa dipandang dari sisi auditi, auditor internal dalam organisasi harus memiliki kebebasan (diatur dalam audit charter) untuk menilai seluruh kegiatan organisasi dan bertanggung jawab langsung kepada pimpinan tertinggi
organisasi yang bersangkutan. Kata kunci ketiga, opini diberikan setelah auditor internal melakukan sejumlah prosedur yang disusun dalam program kerja audit yang dipandu oleh standar audit bagi auditor internal.
Peran auditor internal dalam konteks risiko adalah mengevaluasi pengelolaan risiko yang dilakukan oleh manajemen dan memberikan masukan jika masih dijumpai kurang efektifnya pengelolaan risiko manajemen yang pada gilirannya dapat menghambat atau menggagalkan pencapaian tujuan organisasi. Dalam rangka memenuhi tugasnya, auditor internal harus menyusun perencanaan audit berbasis risiko mulai dari cakupan strategis hingga cakupan operasional. Gagasan ini dikemukakan oleh David McName dan George Selim (1998) dengan judul: Model for Improving Audit Intern Service to the Organization through Risk Management Techniques.
Model peningkatan pelayanan audit intern bagi organisasi melalui teknik pengelolaan risiko merupakan terobosan baru paradigma auditor intern. Manajemen dalam mengelola organisasi dihadapkan dengan semakin kompleksnya lingkungan yang mengglobal dan risiko menjadi elemen pusat dari tata kelola yang baik (good governance). Kesadaran pentingnya pengelolaan risiko sebagai kunci proses organisasional yang memberikan kesempatan unik kepada profesi auditor internal untuk menggeser fokusnya kepada aspek risiko. Paradigma baru mengakui bahwa risiko merupakan pemicu aktivitas organisasi. Tata kelola yang baik merupakan tanggapan organisasi stratejik terhadap risiko. Paradigma baru juga mengakui tanggapan organisasi terhadap risiko pada industri secara spesifik. Secara lengkap, model peningkatan pelayanan audit intern bagi organisasi melalui teknik pengelolaan risiko disajikan pada Gambar 3.1. di bawah ini.
Gambar 3.1.
Model for Improving Audit Intern Service to the Organization Through Risk Management Techniques
Gambar 3.1. menunjukkan keterlibatan audit internal sejak tahap perencanaan strategis sebagai upaya memberikan nilai tambah atas pengelolaan risiko, pengendalian dan tata kelola. Gambar di atas juga menggambarkan peran pengelolaan risiko dan audit internal serta hubungannya dalam tata kelola yang baik. Pimpinan organisasi audit internal perlu melakukan penelaahan secara menyeluruh ke dalam
proses pengelolaan risiko dengan menciptakan “bahasa umum” dan kerangka risiko dalam mendiskusikan risiko dengan pimpinan organisasi. Pimpinan organisasi yang berupaya mencapai tujuan organisasi harus menyadari adanya risiko yang dapat menghambat pencapaian tujuan, sehingga pengakuan dan apresiasi atas risiko bisnis harus dilakukan pada tingkat strategis. Proses perencanaan strategis terkomunikasikan kepada pihak audit internal dalam proses pengidentifikasian audit universe yang merupakan titik awal dalam mekanisme audit berbasis risiko.
Peran audit internal pada Gambar 3.1. tersebut dimulai pada tahap proses penetapan audit universe yang kemudian mengerucut pada rencana audit tahunan yang direviu secara periodik dan disebut dengan penilaian risiko makro audit internal. Kemudian, penetapan lingkup audit individual yang terdapat dalam rencana audit tahunan yang berakhir pada tahap evaluasi risiko bisnis yang dikelola dan disebut dengan penilaian risiko mikro audit internal. Pada tahap inilah auditor internal melakukan validasi atas pengidentifikasian risiko dan penanganan risiko tersebut yang dilakukan oleh pihak manajemen.
E.
AUDIT INTERNAL BERBASIS RISIKO (AIBR)
Praktik audit internal mencapai suatu definisi baru yang dikeluarkan oleh IIA pada tahun 1999, yaitu sebagai berikut:
“Internal auditing is an independent, objective assurance and consulting activity designed
to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, discplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes.”
Definisi tersebut merefleksikan perubahan yang signifikan dalam audit internal. Definisi baru tersebut membuat peran audit internal tidak hanya terfokus pada pengawasan operasional tetapi menjadi bagian dari perbaikan langsung organisasi, menciptakan nilai tambah (value creating), membantu dalam pengelolaan risiko, pengendalian, dan dalam rangka menjaga proses tata kelola yang baik.
Aktivitas audit internal yang merupakan bagian dari mekanisme internal corporate governance diharapkan dapat mendorong percepatan pemenuhan keinginan shareholder dan stakeholder yang semakin kompleks dan beragam. Hubungan proses audit internal, manajemen risiko dan good governance (GG) dapat dilihat pada Gambar 3.2. berikut ini.
Sumber: Robert Tampubolon, Risk and System Based Internal Audit, 2005.
Gambar 3.2. Risk Based Internal Auditing Berdasarkan Gambar 3.2. tersebut di atas, dapat dijelaskan berikut ini.
1. Sebagai hasil dari proses audit internal akan ditemukan risiko‐risiko yang mungkin terjadi dalam organisasi, dan risiko‐risiko tersebut akan menjadi dasar pertimbangan penentuan strategi organisasi.
2. Residual risk yang terjadi dari proses audit internal diminimalkan melalui proses manajemen risiko dan diharapkan dapat berubah menjadi opportunity.
Permasalahan yang terjadi dalam pengelolaan organisasi bisnis di Amerika Serikat (AS) telah mendorong kesadaran manajemen akan pentingnya pengendalian internal, pengelolaan risiko dan tata kelola organisasi yang baik. Pada tahun 2001, di AS banyak terjadi kebangkrutan perusahaan. Hoyle, Schaefer, Doupnik, 2007, menjelaskan fenomena tersebut sebagai berikut. ”Since beginning of 2001, more than 60.000 companies have sought bankruptcy protection, and the number of affected employees is rising fast in 2001, the 10 largest companies filling for bankruptcy reported employing about 140.500 people in their most recent annual report before the filling. The top 15 US bankruptcies have occured since 2001: World Com Inc, July 2002; USD 103.9 billion, Enron Corp, Desember 2, 2001; USD 63,4 billion; Conceco Inc, Desember 17, 2002; USD 61,4 billion, etc.”
Banyaknya kebangkrutan yang terjadi di AS menyebabkan Pemerintah AS membuat sebuah undang‐ undang yang disahkan pada tanggal 30 Juli 2002 dengan nama The Public Accounting Reform and Investor Protection Act. Undang‐undang ini sering disebut Sarbanox, yang diambil dari nama dua orang pencetusnya yaitu Senator Paul Spros Sarbane dan Congressman Michael G. Oxley. Tujuan dari undang‐ undang ini adalah untuk meningkatkan akuntabilitas manajemen perusahaan publik, memperbaiki